기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
최소 권한 CloudFormation 액세스를 위한 자격 증명 기반 정책 구성 모범 사례
-
CloudFormation에 액세스하기 위한 권한이 필요한 IAM 보안 주체의 경우 CloudFormation을 운영하는 데 필요한 권한과 최소 권한 원칙의 균형을 맞춰야 합니다. 최소 권한 원칙을 준수할 수 있도록 보안 주체가 다음을 수행할 수 있도록 허용하는 특정 작업을 사용하여 IAM 보안 주체의 자격 증명을 정의하는 것이 좋습니다.
-
CloudFormation 스택을 생성, 업데이트 및 삭제합니다.
-
CloudFormation 템플릿에 정의된 리소스를 배포하는 데 필요한 권한이 있는 하나 이상의 서비스 역할을 전달합니다. 이를 통해 CloudFormation은 IAM 보안 주체를 대신하여 서비스 역할을 수임하고 스택의 리소스를 프로비저닝할 수 있습니다.
-
-
권한 에스컬레이션은 액세스 권한이 있는 사용자가 권한 수준을 높이고 보안을 손상시키는 기능을 말합니다. 최소 권한은 권한 에스컬레이션을 방지하는 데 도움이 되는 중요한 모범 사례입니다. CloudFormation은 정책 및 역할과 같은 IAM 리소스 유형의 프로비저닝을 지원하므로 IAM 보안 주체는 다음을 통해 CloudFormation을 통해 권한을 에스컬레이션할 수 있습니다.
-
CloudFormation 스택을 사용하여 권한이 높은 권한, 정책 또는 자격 증명으로 IAM 보안 주체 프로비저닝 - 이를 방지하려면 권한 가드레일을 사용하여 IAM 보안 주체의 액세스 수준을 제한하는 것이 좋습니다. 권한 가드레일은 자격 증명 기반 정책이 IAM 보안 주체에 부여할 수 있는 최대 권한을 설정합니다. 이렇게 하면 의도적 및 의도하지 않은 권한 에스컬레이션을 방지하는 데 도움이 됩니다. 다음과 같은 유형의 정책을 권한 가드레일로 사용할 수 있습니다.
-
권한 경계는 자격 증명 기반 정책이 IAM 보안 주체에게 부여할 수 있는 최대 권한을 정의합니다. 자세한 내용은 IAM 엔터티의 권한 경계를 참조하세요.
-
에서 서비스 제어 정책(SCPs)을 사용하여 조직 수준에서 사용 가능한 최대 권한을 정의할 AWS Organizations수 있습니다. SCPs는 조직의 계정에서 관리하는 IAM 역할 및 사용자에게만 영향을 미칩니다. SCPs 계정, 조직 단위 또는 조직 루트에 연결할 수 있습니다. 자세한 내용은 권한에 대한 SCP 효과를 참조하세요.
-
-
광범위한 권한을 제공하는 CloudFormation 서비스 역할 생성 - 이를 방지하려면 CloudFormation을 사용할 IAM 보안 주체의 자격 증명 기반 정책에 다음과 같은 세분화된 권한을 추가하는 것이 좋습니다.
-
cloudformation:RoleARN조건 키를 사용하여 IAM 보안 주체가 사용할 수 있는 CloudFormation 서비스 역할을 제어합니다. -
IAM 보안 주체가 전달해야 하는 특정 CloudFormation 서비스 역할에 대해서만
iam:PassRole작업을 허용합니다.
-
자세한 내용은 이 안내서의 IAM 보안 주체에게 CloudFormation 서비스 역할을 사용할 수 있는 권한 부여 섹션을 참조하세요.
-
-
권한 경계 및 SCPs와 같은 권한 가드레일을 사용하여 권한을 제한하고 자격 증명 기반 또는 리소스 기반 정책을 사용하여 권한을 부여합니다.
